信息系统安全原理

信息系统安全或INFOSEC是指为计算机、网络和相关数据提供保护的过程。随着技术的出现，信息在广泛的网络上存储的越多，保护它免受可能滥用相同信息的未经授权的信息就越重要。每个组织都有包含有关其活动的机密信息的数据集。

为信息系统提供安全性的主要原因不仅仅是一个，而是三个：

1. Confidentiality
2. Integrity
3. Availability 

这些层级一起形成了CIA 三角形，恰好被称为保护信息系统的最重要的必要条件。这三个层次证明了信息系统安全原则的合理性。

让我们一一来看看：

1. 保密：
   此功能的主要本质在于，只有授权人员才能访问数据和系统。未经授权的个人必须远离信息。这是通过检查每个尝试访问数据库的个人的授权来确保的。

   例如。不得允许组织的管理部门访问员工的私人信息。

2. 正直：
   当所呈现的数据未被触及，或者更确切地说，未被任何未经授权的权力改变时，可确保完整性。因此，可以闭着眼睛参考信息。信息的完整性可以以无意或有意的方式改变。任何人都可以故意通过恶意内容传递信息。相反，任何授权的个人可能会无意中妨碍信息，例如，他可能会删除信息的任何特定重要部分。
3. 可用性：
   此功能意味着任何授权人员都可以在给定的时间范围内访问和修改信息。这里需要注意的一点是信息的可访问性有限。每个组织可以访问它的时间范围是不同的。

平衡信息安全和访问：
组织的唯一目的是保护用户的利益，并在必要时向他们提供适当数量的信息。同时，有必要为信息提供足够的安全性，以使任何人都无法访问它。保持信息安全和可访问性的完美平衡的需要源于信息安全永远不可能是绝对的事实。

提供对一条信息的免费访问是有害的，而且很难限制任何可访问性。因此，需要确保保持所需的准确平衡，以便用户和安全专业人员都感到满意。

信息安全工具：
有各种工具可供各种组织使用，以确保最大程度的信息系统安全。然而，这些工具并不能保证绝对的安全性，但如上所述，有助于形成信息访问和安全性的关键平衡。

让我们一一研究这些工具：

1. 验证：
   这是在开始确保安全的关键过程之前需要牢记的最重要的工具。身份验证过程是当系统识别具有一个或多个因素的某人时。这些因素对于大多数用户来说必须是独一无二的。例如，ID 和密码组合、人脸识别、拇指印象等。

   这些因素并不总是可信的，因为一个人可能会丢失它们，或者它可能被任何外人访问。对于这些情况，可以使用多因素授权，通过组合上述任何两个或多个因素来完成。

2. 访问控制：
   在确保正确的个人可以访问信息之后，必须确保只有适当的信息才能到达他或她。通过使用访问控制工具，系统判断哪些用户必须能够重新或写入或修改某些信息。为此，它通常维护所有用户的列表。可以找到两种类型的列表：
   • 访问控制列表 (ACL) – 这只是有资格访问信息的个人列表
   • 基于角色的访问控制列表 (RBAC) ——该列表包括授权人员的姓名以及他们被授权对信息执行的相应操作。
3. 加密：
   有时信息是通过互联网传输的，因此任何人访问它的风险都会增加，现在必须使用强大的工具来避免它。在这种情况下，任何人都可以轻松访问和修改信息。为了避免这种情况，一个新的工具被投入使用，加密。使用加密，可以将机密信息放入难以解密的不可读字符位中，并且只有信息的授权接收者才能轻松读取它。